[PHP-users 8832] Re: PHP 4.2.2リリース

[Masaki Fujimoto]

ふじもとです。

On Tue, 23 Jul 2002 10:13:23 +0900
R/OKADA <riotaro@kh.rim.or.jp> wrote:

> テックスタイル岡田です。

あちこちでお世話になります:)

> >PHP GroupはPHP 4.2.0と4.2.1に重大な脆弱性があることを突き止めました。侵
> >入者はウェブサーバの動作権限(*)で任意のコードを実行することが出来ます。
> >この脆弱性によりウェブサーバは危険な状態となり、特定の条件下において一定
> >の権限を持ったアクセスを許容することになります。
> >
> >(*訳注)この意味がhttpd自体の動作権限 == (通常)rootなのか、ウェブサーバ上
> >で動作するアプリケーションの動作権限なのか、この文脈からははっきりとは分
> >かりません。恐らく後者かと思いますが、まだ何にも調べてないし、パッチさえ
> >見ていないのではっきりとは分かりませんが:(
> 
> 設定によるので一概に言えませんが、Linuxなどでは、最近は apacheとか
> www-dataとかというユーザ権限でサーバを立ち上げますね。rootのままの運用
> はお勧めできないしあり得ないのではないでしょうか。

えぇ。子プロセス(とりあえずunix版apache1のばあい)がrootっていうのはあり
えないとは思いますが、80番で動かしていると親はrootですよね。

ので、ひょっとしてひょっとするとその「rootで動いているだろう親」の権限も
取られてしまうのかな、という可能性も無くは無いと思って一応あんなふうに書
いたのでした。が、一夜明けて調べてみると岡田さんのおっしゃるとおり前者は
ありえませんね(どっちにしろ危険極まりないですけど)。なんであんなこと書い
たんだろ。

ではでは。

--
藤本 真樹

アストラザスタジオ
fujimoto@studio.co.jp
fujimoto@php.net